业务持续性及灾难恢复计划课件.ppt

1、业务持续性及灾难恢复计划业务持续性及灾难恢复计划BUSINESS CONTINUITY&DISASTER RECOVERY PLANNING概述概述业务持续性及灾难恢复计划论述当业务运行陷入重大混乱时，业务持续性及灾难恢复计划论述当业务运行陷入重大混乱时，如何保持正常的业务活动。如何保持正常的业务活动。BCP 和和DRP 包含对具体措施的准备包含对具体措施的准备、测试与更新，以此保护关键业务流程不受重大系统与网络故、测试与更新，以此保护关键业务流程不受重大系统与网络故障的影响。障的影响。业务持续性计划（业务持续性计划（BCP）有助于识别机构承受的内部与外部的）有助于识别机构承受的内部与外部的威

2、胁；协调硬资产与软资产以向机构提供有效的预防和恢复途威胁；协调硬资产与软资产以向机构提供有效的预防和恢复途径，并保持其竞争优势与价值系统完整性。径，并保持其竞争优势与价值系统完整性。BCP抵御商务活动抵御商务活动受到的干扰，应用于保护关键业务流程不受重大故障与灾难的受到的干扰，应用于保护关键业务流程不受重大故障与灾难的影响。影响。BCP应对自然与人为事件，并处理未能及时有效地应对应对自然与人为事件，并处理未能及时有效地应对所带来的后果。所带来的后果。业务影响分析（业务影响分析（BIA）断定在计算服务或通信服务严重中断后）断定在计算服务或通信服务严重中断后，各个业务单位所承受的影响程度。这些影响

3、可能是财政方面，各个业务单位所承受的影响程度。这些影响可能是财政方面的，体现为金钱损失；或是运行方面的，体现为无法履行业务的，体现为金钱损失；或是运行方面的，体现为无法履行业务。灾难恢复计划（灾难恢复计划（DRP）在电脑设备遭受部分或全部电脑资源与）在电脑设备遭受部分或全部电脑资源与物理设施损失时，提供应急响应、延长备份运行以及灾后恢复物理设施损失时，提供应急响应、延长备份运行以及灾后恢复的程序。的程序。DRP的首要目标是让必需任务程序得以在降级模式下的首要目标是让必需任务程序得以在降级模式下运行，并在合理时间内恢复回正常的运行模式。运行，并在合理时间内恢复回正常的运行模式。概述概述考生应了解

4、业务持续性计划与灾难恢复计考生应了解业务持续性计划与灾难恢复计划之间的区别；了解业务持续性计划的项划之间的区别；了解业务持续性计划的项目范围与规划、业务影响分析、恢复策略、目范围与规划、业务影响分析、恢复策略、恢复计划发展与实施。此外，考生还应掌恢复计划发展与实施。此外，考生还应掌握灾难恢复计划的开发、实施与修复。握灾难恢复计划的开发、实施与修复。关键知识领域关键知识领域A.理解业务持续性要求理解业务持续性要求 A.1 起草并记录项目范围与规划起草并记录项目范围与规划B.进行业务影响分析进行业务影响分析 B.1 识别关键业务功能并进行优先排序识别关键业务功能并进行优先排序 B.2 判断可接受的

5、最长停工时间以及其他标准判断可接受的最长停工时间以及其他标准 B.3 评估运行中断的威胁（如本地范围、区域范围、全球范围）评估运行中断的威胁（如本地范围、区域范围、全球范围）B.4 定义恢复目标定义恢复目标C.制定恢复策略制定恢复策略 C.1 实施备份存储策略（如异地存储、电子仓储、磁带轮换）实施备份存储策略（如异地存储、电子仓储、磁带轮换）C.2 站点恢复策略站点恢复策略D.理解灾难恢复过程理解灾难恢复过程 D.1 应对应对 D.2 人员人员 D.3 通讯通讯 D.4 评估评估 D.5 修复修复 D.6 提供培训提供培训E.执行、评估与维护计划（如版本控制、发行）执行、评估与维护计划（如版本

6、控制、发行）主要内容主要内容项目起始步骤项目起始步骤恢复与连续性规划要求恢复与连续性规划要求业务影响分析业务影响分析选择、开发和实现灾难和连续性计划选择、开发和实现灾难和连续性计划备份与离线设备备份与离线设备演习和测试类型演习和测试类型u 灾难（灾难（Disaster）是突发的、导致重大损失的不幸事）是突发的、导致重大损失的不幸事件，包括：件，包括：自然的（自然的（Natural），如地震（），如地震（Earthquakes）、洪水（）、洪水（Floods）、）、强对流天气（强对流天气（Storms）、火山爆发（）、火山爆发（Volcanic Eruptions）、自然火）、自然火灾（灾（Na

7、tional Fires）；）；系统系统/技术的（技术的（System/Technical）,如硬件、软件中断如硬件、软件中断（Outages）、系统）、系统/编程错误（编程错误（Errors）；）；供应系统（供应系统（Supply Systems），通讯中断、配电系统（），通讯中断、配电系统（Power Distribution）中断、管道破裂（）中断、管道破裂（Burst Pipes）；）；人为的（人为的（Man-Made），爆炸（），爆炸（Explosions）、火灾（）、火灾（Fires）、）、故意破坏（故意破坏（Purposeful Destruction）、航空器坠毁（）、航空器坠

8、毁（Aircraft Crashes）、有害物质泄漏（）、有害物质泄漏（Hazardous Spills）、化学污染）、化学污染（Chemical Contamination）、有害代码（）、有害代码（Malicious Code）政治的（政治的（Political），如恐怖袭击（），如恐怖袭击（Terrorist Attacks）、骚乱）、骚乱（Riots）、罢工（）、罢工（Strikes）。）。灾难的定义灾难的定义u 对于机构来说，任何导致机构关键业务功能在一定时间内无法进行对于机构来说，任何导致机构关键业务功能在一定时间内无法进行的事件都被视为灾难，其特点表现为：的事件都被视为灾难，其特

9、点表现为：计划之外的服务中断；计划之外的服务中断；长时间的服务中断；长时间的服务中断；中断无法通过正常的问题管理规程得到解决；中断无法通过正常的问题管理规程得到解决；中断造成重大损失。中断造成重大损失。u 中断事件是否被机构视为灾难，与中断所影响的业务功能对机构的中断事件是否被机构视为灾难，与中断所影响的业务功能对机构的关键程度，以及中断的时间长短有关。关键程度，以及中断的时间长短有关。机构的灾难机构的灾难u 业务连续性计划（业务连续性计划（Business Continuity Plan，BCP）关注在中断期间和之后维持机构的业务功能，提供重大关注在中断期间和之后维持机构的业务功能，提供重大

10、中断恢复期间维持重要业务运行的规程，和中断恢复期间维持重要业务运行的规程，和IT相关的仅限于相关的仅限于其对业务处理的支持，灾难恢复计划、业务恢复其对业务处理的支持，灾难恢复计划、业务恢复/复原计划复原计划和场所紧急计划可以附加在和场所紧急计划可以附加在BCP之后。之后。业务恢复业务恢复/复原计划（复原计划（Business Recovery/Resumption Plan，BRP）涉及到在紧急事件后对业务处理的恢复，提供灾难后立涉及到在紧急事件后对业务处理的恢复，提供灾难后立即恢复业务运行的规程，但和即恢复业务运行的规程，但和BCP不同，它在整个紧急事不同，它在整个紧急事件或中断过程中缺乏确

11、保关键处理连续性的规程。件或中断过程中缺乏确保关键处理连续性的规程。BRP的的制定应该与灾难恢复计划和制定应该与灾难恢复计划和BCP进行协调。进行协调。BRP应该附加应该附加在在BCP之后。之后。BCP相关计划之间的关系相关计划之间的关系u 操作连续性计划（操作连续性计划（Continuity of Operations Plan，COOP）关注位于机构（通常是总部单位）备用站点的关键关注位于机构（通常是总部单位）备用站点的关键功能，以及这些功能在回到正常操作状态之前最多功能，以及这些功能在回到正常操作状态之前最多30天的运行。由于天的运行。由于COOP涉及到总部级的问题，它和涉及到总部级的问

12、题，它和BCP是互相独立制定和执行的。是互相独立制定和执行的。COOP强调机构在备强调机构在备用站点恢复运行能力，所以计划不一定需要包括用站点恢复运行能力，所以计划不一定需要包括IT运运行。另外，它不涉及到无需重新配置到备用站点的小行。另外，它不涉及到无需重新配置到备用站点的小型危害。型危害。COOP可以将可以将BCP、BRP和灾难恢复计划做和灾难恢复计划做为附录。为附录。支持连续性计划支持连续性计划IT应急计划应急计划（Continuity of Support Plan/IT Contingency Plan）支持连续性计划和支持连续性计划和IT应急计划是同义词，每一个重应急计划是同义词，

13、每一个重要的应用和通用支持系统都要制定要的应用和通用支持系统都要制定IT应急计划，在机应急计划，在机构的构的BCP中可能会维护多个应急计划。中可能会维护多个应急计划。BCP相关计划之间的关系（续）相关计划之间的关系（续）u 危机通信计划（危机通信计划（Crisis Communications Plan）机构应该在灾难之前做好其内部和外部通信规程的准备工机构应该在灾难之前做好其内部和外部通信规程的准备工作。危机通信计划通常由负责公共联络的机构制定。危机通信作。危机通信计划通常由负责公共联络的机构制定。危机通信计划规程应该和所有其它计划协调以确保只有受到批准的内容计划规程应该和所有其它计划协调以

14、确保只有受到批准的内容公之于众。计划规程应该做为附录包含在公之于众。计划规程应该做为附录包含在BCP中。通信计划中。通信计划通常指定特定人员做为在灾难反应中回答公众问题的唯一发言通常指定特定人员做为在灾难反应中回答公众问题的唯一发言人。它还可以包括向个人和公众散发状态报告的规程。计划中人。它还可以包括向个人和公众散发状态报告的规程。计划中包括记者招待会的模板。包括记者招待会的模板。计算机事件响应计划（计算机事件响应计划（Cyber Incident Response Plan）建立处理针对机构建立处理针对机构IT系统攻击的规程。这些规程被设计用系统攻击的规程。这些规程被设计用来协助安全人员对有

15、害的计算机事件进行识别、消减并进行恢来协助安全人员对有害的计算机事件进行识别、消减并进行恢复，这些事件的例子包括对系统或数据的非法访问、拒绝服务复，这些事件的例子包括对系统或数据的非法访问、拒绝服务攻击、或对硬件、软件、数据的非法更改（如有害逻辑：病毒、攻击、或对硬件、软件、数据的非法更改（如有害逻辑：病毒、蠕虫或木马等）。本计划可以包含在蠕虫或木马等）。本计划可以包含在BCP的附录中。的附录中。BCP相关计划之间的关系（续）相关计划之间的关系（续）u 灾难恢复计划灾难恢复计划（Disaster Recovery Plan，DRP）应用于重大的、通常是灾难性的、造成长时间无法应用于重大的、通常

16、是灾难性的、造成长时间无法访问正常设施的事件。通常，访问正常设施的事件。通常，DRP指用于紧急事件后指用于紧急事件后在备用站点恢复目标系统、应用或计算机设施运行的在备用站点恢复目标系统、应用或计算机设施运行的IT计划。计划。DRP的范围可能和的范围可能和IT应急计划重叠，但是应急计划重叠，但是DRP的范围比较狭窄，它不涉及到无需重新配置的小型危害。的范围比较狭窄，它不涉及到无需重新配置的小型危害。根据机构的需要，可能会有多个根据机构的需要，可能会有多个DRP附加在附加在BCP之后。之后。场所紧急计划（场所紧急计划（Occupant Emergency Plan，OEP）在发生有可能对人员的安全

17、健康、环境或财产构成在发生有可能对人员的安全健康、环境或财产构成威胁的事件时，为设施中的人员提供反应规程。威胁的事件时，为设施中的人员提供反应规程。OEP在设施级制定，与特定的地理位置和建筑结构有关。根在设施级制定，与特定的地理位置和建筑结构有关。根据美国总务管理局（据美国总务管理局（GSA）的）的OEP模板维护模板维护GSA所属所属设施的设施的OEP计划。设施计划。设施OEP可以附加在可以附加在BCP之后，但之后，但是独立执行。是独立执行。BCP相关计划之间的关系（续）相关计划之间的关系（续）BCP步骤步骤u BCP项目规划阶段的活动包括：项目规划阶段的活动包括：确定确定BCP需求，可以包括

18、有针对性的风险分析以需求，可以包括有针对性的风险分析以识别关键系统可能的中断；识别关键系统可能的中断；向管理层推销向管理层推销BCP理念，获得管理层的支持；理念，获得管理层的支持；了解相关法律、法规、行业规范以及机构的业务了解相关法律、法规、行业规范以及机构的业务和技术规划的要求，以确保和技术规划的要求，以确保BCP与其相一致；与其相一致；任命任命BCP项目负责人，建立项目负责人，建立BCP团队，包括业务团队，包括业务和技术部门的代表；和技术部门的代表；制定项目管理计划书（制定项目管理计划书（Work Plan），其中应明），其中应明确项目范围、目标、方法、责任、任务及其进度；确项目范围、目标

19、、方法、责任、任务及其进度；确定收集数据所需的自动化工具；确定收集数据所需的自动化工具；向管理层提交项目规划和状态报告；向管理层提交项目规划和状态报告；确定项目进度。确定项目进度。BCP项目规划项目规划u 业务连续性协调人做为业务连续性协调人做为BCP项目负责人全面负项目负责人全面负责项目的规划、准备、培训等各项工作：责项目的规划、准备、培训等各项工作：计划的开发团队与管理层的沟通和联络；计划的开发团队与管理层的沟通和联络；有权与计划相关的所有人员进行直接接触和沟通；有权与计划相关的所有人员进行直接接触和沟通；充分了解中断对机构业务的影响；充分了解中断对机构业务的影响；全面了解机构的需求和运作

20、，有能力平衡机构中相关全面了解机构的需求和运作，有能力平衡机构中相关部门的不同需求；部门的不同需求；比较容易接触到高级管理层；比较容易接触到高级管理层；了解机构的业务方向和高级管理层的意图；了解机构的业务方向和高级管理层的意图；有能力影响高级管理层的决策。有能力影响高级管理层的决策。BCP项目负责人项目负责人u 对对BCP项目项目的规划最终应该形成业务的规划最终应该形成业务连续连续性性策略条款，该条款策略条款，该条款记录记录BCP的：的：目的、范围和需求；目的、范围和需求；基本原则和指导方针；基本原则和指导方针；职责和责任；职责和责任；关键环节的基本要求关键环节的基本要求；u 策略条款应得到高

21、级管理层的正式批准，策略条款应得到高级管理层的正式批准，并公布成为并公布成为机构的政策机构的政策，指导机构指导机构业务连续性业务连续性相关工作相关工作。BCP策略条款策略条款业务连续性规划要求业务连续性规划要求关键的业务流程关键的业务流程（1）薪金处理）薪金处理（2）时间和考勤报告）时间和考勤报告（3）时间和考勤核对）时间和考勤核对（4）时间和考勤批准）时间和考勤批准业务流程（业务流程（2）：时间和考勤报告）：时间和考勤报告关键的资源关键的资源lLAN服务器服务器lWAN访问访问l电子邮件电子邮件l大型机访问大型机访问l电子邮件服务器电子邮件服务器资源资源 恢复优先顺序恢复优先顺序lLAN服务

22、器服务器 高高lWAN访问访问 中中l电子邮件电子邮件 低低l大型机访问大型机访问 高高l电子邮件服务器电子邮件服务器 高高关键资源关键资源lLAN服务器服务器lWAN访问访问l电子邮件电子邮件l大型机访问大型机访问l电子邮件服务器电子邮件服务器确认关键的确认关键的IT资源资源来自用户、业务流程、来自用户、业务流程、所有者、应用程序所所有者、应用程序所有者和其他相关组的有者和其他相关组的输入输入确认中断的影响和允许的最长停工时间确认中断的影响和允许的最长停工时间确定恢复优先次序确定恢复优先次序允许的最长时间：允许的最长时间：8小时小时影响影响l考勤卡处理延迟考勤卡处理延迟l无法执行薪金操作无法

23、执行薪金操作l薪金处理延时薪金处理延时BIA分析分析u 协助机构管理者了解潜在中断对机构的影响；协助机构管理者了解潜在中断对机构的影响；u 识别机构的关键功能以及支持这些功能的识别机构的关键功能以及支持这些功能的IT资源；资源；u 协助管理人员识别机构功能支持方面的不足；协助管理人员识别机构功能支持方面的不足；u 排定排定IT资源的恢复顺序；资源的恢复顺序；u 分析中断的影响，包括损失的利润、增加的运行费分析中断的影响，包括损失的利润、增加的运行费用、收入的延期以及对竞争能力和公众信心的打击；用、收入的延期以及对竞争能力和公众信心的打击；u 确定每一项业务功能的恢复窗口（确定每一项业务功能的恢

24、复窗口（Recovery Windows），如确定机构可以使用手工作业或其它替），如确定机构可以使用手工作业或其它替代方式执行关键功能的时间长度。代方式执行关键功能的时间长度。BIA的目的的目的u 确定信息收集技术；确定信息收集技术；u 选择受访者（选择受访者（Interviewees）；）；u 定制收集经济和运作影响信息的问卷；定制收集经济和运作影响信息的问卷；u 分析信息；分析信息；u 确定时间关键（确定时间关键（Time-Critical）的业务功能；）的业务功能；u 确定最大允许中断时间（确定最大允许中断时间（Maximum Tolerable Downtime，MTD）；）；u 基于

25、基于MTDs排定关键业务功能的恢复顺序；排定关键业务功能的恢复顺序；u 准备和提交准备和提交BIA报告。报告。BIA的过程的过程支持资源的种类支持资源的种类支持关键功能的资源包括：支持关键功能的资源包括：人力资源（人力资源（Human resources），如操作员、专家、），如操作员、专家、系统用户等。系统用户等。处理能力（处理能力（Processing capability），如数据中心、备），如数据中心、备用数据中心、网络、小型机、工作站、个人计算机等。用数据中心、网络、小型机、工作站、个人计算机等。基于计算机的服务（基于计算机的服务（Computer-based services），如

26、），如语音和数据通信服务、数据库服务、公告服务等。语音和数据通信服务、数据库服务、公告服务等。自动化应用和数据（自动化应用和数据（Automated applications and data），计算机设备上运行的各种程序和存储的数据。），计算机设备上运行的各种程序和存储的数据。物理基础设施（物理基础设施（Physical infrastructure），如办公室、），如办公室、办公家具、环境控制系统、电力、上下水、邮件服务办公家具、环境控制系统、电力、上下水、邮件服务等。等。文档和票据（文档和票据（Documents and papers），如合同、票），如合同、票据、计划、规程等文件、文档

27、和资料。据、计划、规程等文件、文档和资料。u 预期各种可能出现的紧急情况时需要考虑类似下面这预期各种可能出现的紧急情况时需要考虑类似下面这些问题：些问题：人力资源人力资源，人们还能否工作？在罢工事件中关键人员能否工作？，人们还能否工作？在罢工事件中关键人员能否工作？是否有人能够替代这些人员？人们能否便捷地抵达备用站点？是否有人能够替代这些人员？人们能否便捷地抵达备用站点？处理能力处理能力，计算机是否损坏？如果部分计算机无法使用应该怎么，计算机是否损坏？如果部分计算机无法使用应该怎么办？办？基于计算机的服务基于计算机的服务，能否进行计算机通信？人们之间如何通信？，能否进行计算机通信？人们之间如何

28、通信？信息服务是否中断？会中断多长时间？信息服务是否中断？会中断多长时间？自动化应用和数据自动化应用和数据，数据的完整性是否遭到损坏？应用程序是否，数据的完整性是否遭到损坏？应用程序是否被破坏？应用程序能够在其它平台下运行？被破坏？应用程序能够在其它平台下运行？物理基础设施物理基础设施，人们是否有地方办公？人们是否有完成工作所需，人们是否有地方办公？人们是否有完成工作所需的设备？的设备？文档和票据文档和票据，所需的文件能否找到？找到后还能否使用？，所需的文件能否找到？找到后还能否使用？预期潜在紧急情况预期潜在紧急情况确定防御性控制确定防御性控制BIA中确定的一些中断影响可以通过遏制、中确定的一

29、些中断影响可以通过遏制、探测和或降低对系统影响的防御性措施予探测和或降低对系统影响的防御性措施予以消减或清除。一些常用措施如下所列：以消减或清除。一些常用措施如下所列：UPS和和/或备用发电机或备用发电机 空调系统预留富余容量空调系统预留富余容量 火灾、烟感探测器和消防系统火灾、烟感探测器和消防系统 水害探测器和防水措施水害探测器和防水措施 紧急断路器紧急断路器 备份和离站存储备份和离站存储 最小特权最小特权u 紧急响应（紧急响应（Emergency response）阶段阶段，事件发生初期为保护生命和减少损，事件发生初期为保护生命和减少损失所采取的行动。失所采取的行动。u 恢复（恢复（Rec

30、overy）阶段）阶段，事件发生后，事件发生后为了继续关键功能所采取的行动。为了继续关键功能所采取的行动。u 复原（复原（Resumption）阶段）阶段，事件发，事件发生后为了恢复到正常运行状态所采取的行生后为了恢复到正常运行状态所采取的行动。动。不同阶段的应急计划策略不同阶段的应急计划策略u 业务恢复（业务恢复（Business Recovery）确定关键业务功能及其支持资源的恢复顺序；确定关键业务功能及其支持资源的恢复顺序；u 设施和供应恢复（设施和供应恢复（Facility and Supply Recovery）确定备用设施的恢复规程，包括确定建筑、场地、安防、环境供电等配确定备用设

31、施的恢复规程，包括确定建筑、场地、安防、环境供电等配套设施、办公设备、家具、用品等；套设施、办公设备、家具、用品等；u 用户恢复（用户恢复（User Recovery）确定人工操作规程及其相关的关键记录的管理、人员的通知、交通、饮确定人工操作规程及其相关的关键记录的管理、人员的通知、交通、饮食、住宿等相关事宜；食、住宿等相关事宜；u 技术恢复（技术恢复（Technical Recovery）确定数据中心和网络的恢复方法；确定数据中心和网络的恢复方法；u 数据恢复（数据恢复（Data Recovery）确定关键软件、数据的备份、存储和恢复方法。确定关键软件、数据的备份、存储和恢复方法。不同层次的

32、恢复策略不同层次的恢复策略恢复场所恢复场所完备场所（完备场所（hot site）优点优点租用设施，几小时即可投入运行租用设施，几小时即可投入运行高度可用性高度可用性常用于短期解决方案而非长期解决方案常用于短期解决方案而非长期解决方案可以进行年度检查可以进行年度检查 缺点缺点价格昂贵价格昂贵硬件和软件的选择有限硬件和软件的选择有限 基本完备场所（基本完备场所（warm site）和基础场所（）和基础场所（cold site）租用设施，只有部分设施租用设施，只有部分设施 优点优点便宜便宜成本较低，因此可以使用较长时间成本较低，因此可以使用较长时间如果使用所有权硬件或者软件，更为实用如果使用所有权硬

33、件或者软件，更为实用 缺点缺点不能立即投入使用不能立即投入使用不能进行年度运作测试不能进行年度运作测试不能立即获得运作所需的资源不能立即获得运作所需的资源u 恢复时间目标恢复时间目标（Recovery Time Objectives，RTO）在系统的不可用性严重影响到机构之前所允许消耗的最长时间。在系统的不可用性严重影响到机构之前所允许消耗的最长时间。u 恢复点目标恢复点目标（Recovery Point Objectives，RPO）数据必须被恢复以便继续进行处理的点。也就是所允许的最大数据损失量数据必须被恢复以便继续进行处理的点。也就是所允许的最大数据损失量BCP策略的技术指标策略的技术指

34、标不同类型的恢复计划不同类型的恢复计划计划类型计划类型说说 明明业务恢复计划着重于恢复必须重建的业务流程而非IT组件（即面向流程而非面向措施）操 作 连 续 性 计 划（Continuity Of Operations Plan，COOP）在灾难发生后建立高级管理层和总部。说明角色和权威、继任顺序以及不同角色的任务IT应急计划在破坏发生之后，用于网络、系统和主要的应用程序恢复过程的计划。每个主要的系统和应用程序都应分别制定一个应急计划紧急通信计划包括内部和外部通信结构和角色。确定与外部实体进行通信的具体人员，并包括写好的即将发布的声明网络事故响应计划主要关注恶意软件、黑客、入侵、攻击和其他安全

35、问题。概述了事故响应程序灾难恢复计划重点说明在发生灾难后如何恢复各种IT机制。应急计划通常针对非灾难事故，而灾难恢复计划则针对需要将IT数据处理转移到另一处设施的灾难事故场所应急计划建立人员安全和撤离程序u 廉价磁盘冗余阵列（廉价磁盘冗余阵列（Redundant Arrays of Inexpensive Disks，RAID）使用三种技术：）使用三种技术：镜像（镜像（Mirroring），系统同时将数据写到两个分离的硬盘驱），系统同时将数据写到两个分离的硬盘驱动器或驱动器阵列。动器或驱动器阵列。优点是减少停机时间、简化数据恢复和提优点是减少停机时间、简化数据恢复和提高从磁盘读取的性能。缺点是

36、磁盘写入较慢。高从磁盘读取的性能。缺点是磁盘写入较慢。较验（较验（Parity），确定数据是否丢失或被覆盖的技术。），确定数据是否丢失或被覆盖的技术。优点是优点是无需存储数据拷贝就可以保护数据。无需存储数据拷贝就可以保护数据。条纹（条纹（Striping），通过将数据分布到所有的驱动器来提高硬），通过将数据分布到所有的驱动器来提高硬件阵列控制器的性能。条纹可以在字节或数据块级别进行。件阵列控制器的性能。条纹可以在字节或数据块级别进行。u RAID的技术可以通过硬件也可以通过软件实现。的技术可以通过硬件也可以通过软件实现。u 热交换（热交换（Hot-Swappable）驱动器，在磁盘驱动器）驱动

37、器，在磁盘驱动器故障时无需关闭系统就可以交换磁盘驱动器。故障时无需关闭系统就可以交换磁盘驱动器。廉价磁盘冗余阵列廉价磁盘冗余阵列u 防故障磁盘系统防故障磁盘系统（Failure Resistant disk Systems，FRDSs）能够防止因磁盘故障丢失数据；能够防止因磁盘故障丢失数据；u 容错容错磁盘系统（磁盘系统（Failure Tolerant disk Systems，FTDSs）磁盘系统单一部件故障情况下仍能提供数据访问；磁盘系统单一部件故障情况下仍能提供数据访问；u 容灾磁盘系统（容灾磁盘系统（Disaster Tolerant disk Systems，FTDSs）包含多套位

38、于不同区域的组件，任何组件都可独立提包含多套位于不同区域的组件，任何组件都可独立提供存储数据访问；供存储数据访问；RAID的新分类的新分类u 电子跳跃（电子跳跃（Electronic vaulting）是在主站点通过电子方式向远程站点进行）是在主站点通过电子方式向远程站点进行备份或取回备份。备份或取回备份。u 使用宽带通信链路进行的电子跳跃可以使系统备份更加自动化、减少了人力使用宽带通信链路进行的电子跳跃可以使系统备份更加自动化、减少了人力消耗、节省了时间、提高了效率并降低了成本。消耗、节省了时间、提高了效率并降低了成本。u 电子跳跃可以实现交易信息的实时备份，提高了系统的可用性。电子跳跃可以

39、实现交易信息的实时备份，提高了系统的可用性。u 电子跳跃站点的位置可以是机构自己的备份站点，也可以是商业备份站点或电子跳跃站点的位置可以是机构自己的备份站点，也可以是商业备份站点或互惠站点。互惠站点。电子跳跃电子跳跃u 远程日记（远程日记（Remote Journal），），将事务将事务（特别是数据库）处理的明细记录通过电子（特别是数据库）处理的明细记录通过电子的方式传输到远程设施的存储设备中。的方式传输到远程设施的存储设备中。u 如果需要对服务器进行恢复，可以通过电如果需要对服务器进行恢复，可以通过电子的方式从远程设施中取回所存储的明细记子的方式从远程设施中取回所存储的明细记录来恢复交易、应

40、用或数据库数据。录来恢复交易、应用或数据库数据。u 远程日记可以通过批处理进行也可以使用远程日记可以通过批处理进行也可以使用缓存软件不间断地进行。缓存软件不间断地进行。u 远程日记缩短了恢复时间并且减少了两次远程日记缩短了恢复时间并且减少了两次传统备份之间服务器遭到损害时的数据损。传统备份之间服务器遭到损害时的数据损。远程日记远程日记u 同步复制也被称为镜像复同步复制也被称为镜像复制（制（Mirroring）u 主服务器的变化被同时添主服务器的变化被同时添加到复制服务器加到复制服务器u RTO可减小到几个小时，可减小到几个小时，RPO可被减少为未提交工作可被减少为未提交工作的损失。的损失。u

41、会降低主服务器的性能，会降低主服务器的性能，带宽要求高带宽要求高u 适用于可用性要求很高的适用于可用性要求很高的应用。应用。磁盘复制磁盘复制-同步复制同步复制u 异步复制也被称为投影复制异步复制也被称为投影复制（Shadowing）u 不断地获取主服务器的日志不断地获取主服务器的日志变化并将此变化添加到复制服务变化并将此变化添加到复制服务器器u RTO在数小时和一天之间。在数小时和一天之间。RPO是映像服务器接收的最后数是映像服务器接收的最后数据据u 对主服务器的性能影响小，对主服务器的性能影响小，带宽要求低带宽要求低u 适用于小带宽长距离的网络适用于小带宽长距离的网络磁盘复制磁盘复制-异步复

42、制异步复制u通过负载均衡（通过负载均衡（Load Balance），流量可以被动态分配到一组运行相同应用），流量可以被动态分配到一组运行相同应用程序的多个服务器上。程序的多个服务器上。u负载均衡既可以提高整个系统的性能，又可以在服务器出现故障时将该服务负载均衡既可以提高整个系统的性能，又可以在服务器出现故障时将该服务器承担的服务分配到运行中的服务器执行。器承担的服务分配到运行中的服务器执行。u在不同站点的服务器之间进行的负载均衡还可以在某一站点无法提供服务时在不同站点的服务器之间进行的负载均衡还可以在某一站点无法提供服务时将该站点承担的服务分配到运行中的站点执行。将该站点承担的服务分配到运行中

43、的站点执行。负载均衡负载均衡u 热站点（热站点（Hot Site）u 冷站点（冷站点（Cold Site）u 温站点（温站点（Warm Site）u 移动站点（移动站点（Mobile Site）u 冗余站点（冗余站点（Redundant site）u 互惠协议（互惠协议（Reciprocal/mutual agreement）u 多处理中心（多处理中心（Multiple Processing Centers）u 服务中心（服务中心（Service Bureaus）备用设施的类型备用设施的类型u 热站点热站点，是，是满足满足系统需求系统需求、规模适当规模适当的办公场所，其中配置了所需的基础设施的

44、办公场所，其中配置了所需的基础设施、服务、服务、系统硬件、系统硬件、软件、实时数据软件、实时数据和支持和支持人员人员，通常通常24小时有人值守。接到应急小时有人值守。接到应急计划启动通知时计划启动通知时只需要进行适当的路由转只需要进行适当的路由转换和通知就可以提供主站点的关键应用服换和通知就可以提供主站点的关键应用服务务。u 冷站点冷站点，通常具有充足空间和支持，通常具有充足空间和支持IT系统的基础设施系统的基础设施和服务和服务（电源、电信连接（电源、电信连接和环境控制）和环境控制），站点不包含站点不包含IT设备并且通设备并且通常也不包含办公自动化设备如电话、传真常也不包含办公自动化设备如电话

45、、传真机或复印机。机或复印机。热站和冷站热站和冷站u 温站点，介于热站点和冷站点之间，温站点，介于热站点和冷站点之间，依据恢复策略需求和投入限制配置部分依据恢复策略需求和投入限制配置部分IT资源，不包含实时数据，运行主站点资源，不包含实时数据，运行主站点应用之前需要进行部分设备或软件安装，应用之前需要进行部分设备或软件安装，数据上载工作。数据上载工作。u 移动站点移动站点，是内部，是内部配置适当配置适当电信装电信装备和备和IT设备的可移动设备的可移动拖车，拖车，可以被可以被机动机动拖放和安置在所需的备用场所拖放和安置在所需的备用场所，提供关，提供关键的应用服务，如电话交换功能等键的应用服务，如

46、电话交换功能等。温站和移动站温站和移动站u 冗余站点，也被称为镜像站点，是具有完冗余站点，也被称为镜像站点，是具有完整和实时信息镜像的完全的冗余设施。镜像站整和实时信息镜像的完全的冗余设施。镜像站点与主站点在所有的技术层面上都是一致的。点与主站点在所有的技术层面上都是一致的。由于在主站点和备用站点同时处理和存储数据由于在主站点和备用站点同时处理和存储数据所以这些站点提供了最高的可用性。所以这些站点提供了最高的可用性。u 互惠协议，两个或多个在互惠协议，两个或多个在IT配置和备份技术配置和备份技术上相似或相同的机构签订正式协议互相做为对上相似或相同的机构签订正式协议互相做为对方的备用站点，或者联

47、合租用一个备用站点。方的备用站点，或者联合租用一个备用站点。因为在发生灾难事件期间，每一个站点必须能因为在发生灾难事件期间，每一个站点必须能够在承担自己的工作负荷之外支持其它站点，够在承担自己的工作负荷之外支持其它站点，所以达成互惠协议时必须谨慎从事。所以达成互惠协议时必须谨慎从事。冗余站点和互惠协议冗余站点和互惠协议u 多处理中心就是将处理任务分布到一个机多处理中心就是将处理任务分布到一个机构的多个不同的兼容数据处理中心，由这些中构的多个不同的兼容数据处理中心，由这些中心分担处理工作，当某个中心发生灾难时，其心分担处理工作，当某个中心发生灾难时，其它中心可以接替该中心处理的工作。这种方式它中

48、心可以接替该中心处理的工作。这种方式需要处理中心维护比正常需要高出较多的处理需要处理中心维护比正常需要高出较多的处理能力，并且要确保各处理中心软件版本和数据能力，并且要确保各处理中心软件版本和数据的同步；的同步；u 服务中心为多个机构提供数据处理服务，服务中心为多个机构提供数据处理服务，可以为客户提供灾难恢复期间的数据处理服务。可以为客户提供灾难恢复期间的数据处理服务。服务中心如果为用户预留额外的处理能力，其服务中心如果为用户预留额外的处理能力，其成本也是很高的，所以提供灾难恢复服务的处成本也是很高的，所以提供灾难恢复服务的处理中心并不多。理中心并不多。多处理中心和服务中心多处理中心和服务中心

49、u 支持信息（支持信息（SUPPORTING INFORMATION）u 通知启动阶段通知启动阶段（NOTIFICATION/ACTIVATION PHASE）u 恢复阶段恢复阶段（RECOVERY PHASE）u 重建阶段重建阶段（RECONSTITUTION PHASE）u 计划的附录计划的附录 应急计划的内容应急计划的内容u 目的（目的（Purpose），阐述制定计划的原因和目），阐述制定计划的原因和目标。标。u 适用性（适用性（Applicability），作用范围以及与其），作用范围以及与其它计划的关系。它计划的关系。u 范围（范围（Scope），设定启用计划的条件。），设定启用计划

50、的条件。u 参考需求（参考需求（References/Requirements），），描述制定计划的背景和法规需求。描述制定计划的背景和法规需求。u 变化记录（变化记录（Record of Changes），记录计划），记录计划的变动情况。的变动情况。支持信息的介绍部分支持信息的介绍部分u 系统描述（系统描述（System Description），对，对系统的体系结构和功能进行的一般性描述，系统的体系结构和功能进行的一般性描述，包括运行环境、物理位置、用户位置以及外包括运行环境、物理位置、用户位置以及外部关系如备份规程、安全控制、电信链接等。部关系如备份规程、安全控制、电信链接等。u 继任序